APT28对美网络钓鱼攻击的线索分析

在即将到来的美国中期选举前夕，谍影重现。9月中旬，微软方面采取行动阻止了一项由俄罗斯APT组织Fancy Bear（APT28）发起的网络钓鱼攻击，攻击者的疑似目标为美国国际共和研究所（International Republican Institute，IRI）和哈德逊研究所(Hudson Institute)两家智库，这两个机构都与美国共和党有关，且对俄罗斯和普京持反对批评态度。微软数字犯罪部门通过法院命令形式，用sinkhole技术及时控制屏蔽了由APT28创建的6个用于网络钓鱼攻击的域名。本篇文章中，安全公司RiskIQ针对此次钓鱼攻击涉及的域名和对应网站进行了关联分析，揭露了一些幕后线索和意图，以下为RiskIQ的分析报告。涉及域名这6个域名为：my-iri[.]orgsenate[.]groupoffice365-onedrive[.]comadfs-senate[.]emailadfs-senate[.]serviceshudsonor ………………………………